モバイルオフィスを備えたWireguard Site2Site

tag-icon tag-icon wireguard
モバイルオフィスを備えたWireguard Site2Site

Wireguard に接続されたネットワークがあります。

Lan1:
  10.240.0.0/24
  via 10.100.1.1/32 on public static ip A.B.C.D/32

Lan2:
  192.168.0.0/24
  via 10.100.1.6/32 on dynamic ip from provider

10.240.0.0 ネットは、複数のパブリック サーバー上の Wireguard ネット (wg0) であり、1 つのサーバーは、10.100.1.1 との特別な wg1 インターフェイスを持つ「ゲートウェイ」です。そのため、ゲートウェイから 192.168.0.0 ネットワーク内のすべてのノードにアクセスできます。Lan2 は、いくつかのサーバーを含む従来のローカル ネットワークです。また、そのピアでは、Lan1 の背後にあるすべてのノードにアクセスできます。

ここで、モバイル オフィスなどの「ワイルド」な場所に新しいピアを追加したいと思います。ユーザーは、Lan1 と Lan2 に同時にアクセスできる必要があります (例: 10.240.0.0/24 と 192.168.0.0/24 にアクセス)。ピア自体は、たとえば Wireguard クライアントを備えた携帯電話です。

Lan1 ゲートウェイ wg1.conf

[Interface]
Address = 10.100.1.1/32
...

PostUp   = iptables  -A FORWARD -i %i -j ACCEPT; iptables  -A FORWARD -o %i -j ACCEPT; iptables  -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
PostDown = iptables  -D FORWARD -i %i -j ACCEPT; iptables  -D FORWARD -o %i -j ACCEPT; iptables  -t nat -D POSTROUTING -o eth0 -j MASQUERADE;

# road-warrior
[Peer]
PublicKey = ...
AllowedIps = 10.100.1.2/32

# Lan2 gateway
[Peer]
PublicKey = ...
AllowedIps = 10.100.1.6/32, 192.168.0.0/24

そしてLan2ホスト

[Interface]
Address = 10.100.1.6/32
...

PostUp   = iptables  -A FORWARD -i %i -j ACCEPT; iptables  -A FORWARD -o %i -j ACCEPT; iptables  -t nat -A POSTROUTING -o ens18 -j MASQUERADE
PostDown = iptables  -D FORWARD -i %i -j ACCEPT; iptables  -D FORWARD -o %i -j ACCEPT; iptables  -t nat -D POSTROUTING -o ens18 -j MASQUERADE

# lan1_gate
[Peer]
PublicKey = ...
EndPoint = fqdn:port
AllowedIPs = 10.100.1.1/32, 10.240.0.0/24

私はその携帯電話でlan1ゲートウェイのピアのみを定義できます(私の理解では)。lan2_gatewayへのアクセス権はありませんが、192.168.0.0からのすべてのトラフィックをlan1_gateway経由でlan2_gatewayにルーティングしたいからです。

[Interface]
Address = 10.100.1.2/32
...

[Peer]
PublicKey = ...
EndPoint = fqdn:port
AllowedIPs = 10.100.1.1/32, 192.168.0.0/24, 10.240.0.0/24

ロード ウォリアーを lan1 に接続すると、10.240.0.0/24 には到達できますが、192.168.0.0 には到達できません。何が問題なのでしょうか? 192.168.0.0 のトラフィックを 10.100.1.6 に転送するには、lan1_gate に別の転送ルールが必要ですか? これはすでに実行されているはずです。

#> ip r s
default via 172.31.1.1 dev eth0 onlink
...
10.100.1.2 dev wg1 scope link 
10.100.1.6 dev wg1 scope link 
...
10.240.0.4 dev wg0 scope link 
10.240.0.5 dev wg0 scope link 
...
172.31.1.1 dev eth0 proto kernel scope link src A.B.C.D 
192.168.0.0/24 dev wg1 scope link

何か案は?

答え1

Lan1 ゲートウェイ ホストに追加のファイアウォール ルールを設定しない限り、"ロード ウォリアー" 携帯電話からのトラフィックは、携帯電話の元の WireGuard 送信元アドレスを使用して、Lan1 ゲートウェイから Lan2 ゲートウェイに転送されます。そのため、 Lan2 ゲートウェイ ホストの WireGuard 構成の設定10.100.1.2に携帯電話のアドレスを追加する必要があります。AllowedIPs

AllowedIPs = 10.100.1.1/32, 10.100.1.2/32, 10.240.0.0/24

AllowedIPsパケットの送信元アドレスがこの設定に含まれていない場合、Lan2 ゲートウェイは Lan1 ゲートウェイとの WireGuard 接続から受信したパケットをすべてドロップします。

関連情報